安全事件監(jiān)視設(shè)備、方法和程序技術(shù)

安全事件監(jiān)視設(shè)備包括：存儲(chǔ)模塊，提前存儲(chǔ)相關(guān)性規(guī)則；日志收集單元，從每個(gè)監(jiān)視目標(biāo)設(shè)備接收每個(gè)日志；相關(guān)性分析單元，通過(guò)關(guān)聯(lián)每個(gè)日志來(lái)產(chǎn)生場(chǎng)景候選；場(chǎng)景候選評(píng)估單元，計(jì)算每個(gè)場(chǎng)景候選的重要度；以及結(jié)果顯示單元，顯示/輸出具有重新計(jì)算后的高重要度的場(chǎng)景候選。所述場(chǎng)景候選評(píng)估單元包括：用戶關(guān)聯(lián)度評(píng)估功能，計(jì)算用戶關(guān)聯(lián)度；操作關(guān)聯(lián)度評(píng)估功能，計(jì)算操作關(guān)聯(lián)度；以及場(chǎng)景候選重要性重新評(píng)估功能，根據(jù)所述用戶關(guān)聯(lián)度和所述操作關(guān)聯(lián)度，針對(duì)每個(gè)用戶重新計(jì)算每個(gè)場(chǎng)景候選的重要度。

【技術(shù)實(shí)現(xiàn)步驟摘要】
安全事件監(jiān)視設(shè)備、方法和程序相關(guān)申請(qǐng)的交叉引用本申請(qǐng)基于并要求在2011年9月13日提交的日本專利申請(qǐng)No.2011-199776的優(yōu)先權(quán)，其公開內(nèi)容以全文引用的方式并入本文中。
本專利技術(shù)涉及安全事件監(jiān)視設(shè)備、方法及其程序。更具體地，本專利技術(shù)涉及用于使得對(duì)進(jìn)行了引起問(wèn)題的操作的用戶進(jìn)行高度準(zhǔn)確的指定成為可能的安全事件監(jiān)視設(shè)備等。
技術(shù)介紹
目前，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為了負(fù)責(zé)商務(wù)的那些人的基本任務(wù)的基礎(chǔ)，在局域網(wǎng)上處理與這種任務(wù)相關(guān)的大量個(gè)人信息和機(jī)密信息。自然地，要求在處理該信息時(shí)非常謹(jǐn)慎，以不向組織外部泄漏該信息。本文中將在計(jì)算機(jī)網(wǎng)絡(luò)上進(jìn)行的與網(wǎng)絡(luò)安全相關(guān)的動(dòng)作稱為安全事件。例如，在沒有許可的情況下將包含機(jī)密信息、個(gè)人信息等在內(nèi)的特定文件(下文中稱為重要文件)取出到組織外部對(duì)應(yīng)于安全事件。安全監(jiān)視設(shè)備是執(zhí)行以下操作的設(shè)備：監(jiān)視網(wǎng)絡(luò)；當(dāng)存在進(jìn)行中的特定安全事件時(shí)，迅速地檢測(cè)到該事件；以及指定進(jìn)行該動(dòng)作的人員。構(gòu)成網(wǎng)絡(luò)的每個(gè)設(shè)備包括將針對(duì)該設(shè)備執(zhí)行的操作等記錄到操作日志(下文中簡(jiǎn)稱為日志)中并將該日志發(fā)送到安全事件監(jiān)視設(shè)備的功能。安全事件監(jiān)視設(shè)備對(duì)從多個(gè)監(jiān)視目標(biāo)設(shè)備接收的日志執(zhí)行相關(guān)性分析，以檢測(cè)該安全事件。作為與此相關(guān)的技術(shù)，存在以下技術(shù)。其中，日本未審專利公開2007-183911(專利文獻(xiàn)1)公開了一種與非法操作監(jiān)視系統(tǒng)相關(guān)的技術(shù)，該非法操作監(jiān)視系統(tǒng)計(jì)算目標(biāo)操作的可疑值，并在重復(fù)進(jìn)行具有高可疑值的操作時(shí)設(shè)置更高的可疑值。日本未審專利公開2009-080650(專利文獻(xiàn)2)公開了一種操作支持設(shè)備，其通過(guò)根據(jù)用戶進(jìn)行的一系列操作來(lái)檢測(cè)用戶的操作意圖，從而呈現(xiàn)恰當(dāng)?shù)牟僮髦改稀Ｈ毡疚磳弻＠_2009-217657(專利文獻(xiàn)3)公開了一種相關(guān)性分析設(shè)備，用于在不同系統(tǒng)的日志數(shù)據(jù)中存在公共本質(zhì)表達(dá)式(commonintrinsicexpression)時(shí)，將它們彼此關(guān)聯(lián)。日本未審專利公開2009-259064(專利文獻(xiàn)4)公開了一種評(píng)估設(shè)備，用于將具體操作存儲(chǔ)為場(chǎng)景，并計(jì)算在提前執(zhí)行該操作時(shí)的操作成本。日本未審專利公開2011-008558(專利文獻(xiàn)5)公開了一種web應(yīng)用系統(tǒng)，與專利文獻(xiàn)4的情況一樣，用于測(cè)量當(dāng)執(zhí)行在預(yù)存儲(chǔ)的場(chǎng)景中注冊(cè)的每個(gè)操作時(shí)的所需時(shí)間。U.H.G.R.DNawarathnaandS.R.Kodithuwakku：“AFuzzyRoleBasedAccessControlModelforDatabaseSecurity”，ProceedingsoftheInternationalConferenceonInformationandAutomation，December15-18，2005(非專利文獻(xiàn)1)公開了一種訪問(wèn)控制方法，用于對(duì)僅可以用模糊理論的語(yǔ)言學(xué)變量來(lái)模糊表達(dá)的環(huán)境進(jìn)行表達(dá)，如“用戶讀取和寫入列的必要性”和“用戶的惡意程度”，并使用它們作為參數(shù)。關(guān)于在監(jiān)視目標(biāo)設(shè)備上進(jìn)行的并在日志上記錄的操作，不一定指定已進(jìn)行了該操作的所有用戶。更特別地，在例如多個(gè)用戶正在同時(shí)登陸并使用公共ID來(lái)工作的狀態(tài)下，或在用戶經(jīng)由中繼設(shè)備(如代理服務(wù)器(具有由中繼設(shè)備替換的用戶ID))訪問(wèn)服務(wù)器的狀態(tài)下，難以通過(guò)使用ID來(lái)指定實(shí)際進(jìn)行該操作的個(gè)人。從而，當(dāng)在日志中包含了不能指定其操作者的操作時(shí)，安全事件監(jiān)視設(shè)備極難檢測(cè)到安全事件。因此，即使當(dāng)存在反復(fù)進(jìn)行引起針對(duì)網(wǎng)絡(luò)安全的嚴(yán)重問(wèn)題的動(dòng)作的個(gè)人時(shí)，也不能檢測(cè)到這種動(dòng)作。在上述專利文獻(xiàn)1至5和非專利文獻(xiàn)1中并未描述解決這種問(wèn)題的技術(shù)。在專利文獻(xiàn)1所述的技術(shù)中，假定針對(duì)所有操作指定了進(jìn)行操作的用戶。因此，完全未考慮到關(guān)于不能指定操作者的情況。首先，專利文獻(xiàn)2至5所述的技術(shù)未被設(shè)計(jì)為檢測(cè)進(jìn)行了非法操作的用戶。此外，不存在與可以轉(zhuǎn)用到這種目的的內(nèi)容相關(guān)的描述。在非專利文獻(xiàn)1中描述的技術(shù)判斷檢測(cè)到的操作是否違反給定策略。然而，其中并未執(zhí)行反映在與相同用戶是否已進(jìn)行一系列操作相關(guān)的判斷上的計(jì)算。因此，即使將專利文獻(xiàn)1至5和非專利文獻(xiàn)1中描述的所有技術(shù)加以結(jié)合，也不可能獲得能夠克服上述問(wèn)題的技術(shù)。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)的示例目的是提供能夠正確檢測(cè)安全事件并在收集到的日志包括不能指定操作者的操作時(shí)進(jìn)一步估計(jì)執(zhí)行了這種操作的人員的安全事件監(jiān)視設(shè)備、方法及其程序。為了實(shí)現(xiàn)前述示例目的，根據(jù)本專利技術(shù)的示例方面的安全事件監(jiān)視設(shè)備是一種安全事件監(jiān)視設(shè)備，根據(jù)作為在相同局域網(wǎng)上相互連接的多個(gè)監(jiān)視目標(biāo)設(shè)備上進(jìn)行的操作的記錄的日志，來(lái)檢測(cè)具體操作，以及所述安全事件監(jiān)視設(shè)備的特征在于包括：存儲(chǔ)模塊，提前存儲(chǔ)在對(duì)每個(gè)日志執(zhí)行相關(guān)性分析時(shí)應(yīng)用的相關(guān)性規(guī)則；日志收集單元，從每個(gè)監(jiān)視目標(biāo)設(shè)備接收每個(gè)日志；相關(guān)性分析單元，通過(guò)對(duì)每個(gè)日志應(yīng)用所述相關(guān)性規(guī)則，產(chǎn)生場(chǎng)景候選，在所述場(chǎng)景候選中，每個(gè)日志彼此關(guān)聯(lián)，并且所述相關(guān)性分析單元將所述場(chǎng)景候選與由所述相關(guān)性規(guī)則給出的所述場(chǎng)景候選的重要度一起存儲(chǔ)到所述存儲(chǔ)模塊中；場(chǎng)景候選評(píng)估單元，重新計(jì)算每個(gè)場(chǎng)景候選的重要度；以及結(jié)果顯示單元，顯示/輸出具有重新計(jì)算后的高重要度的場(chǎng)景候選，其中，所述場(chǎng)景候選評(píng)估單元包括：用戶關(guān)聯(lián)度評(píng)估功能，列舉可能已進(jìn)行了每個(gè)場(chǎng)景候選中包含的每個(gè)操作的可能用戶，以及針對(duì)每個(gè)操作，計(jì)算作為每個(gè)用戶的相關(guān)性的用戶關(guān)聯(lián)度；操作關(guān)聯(lián)度評(píng)估功能，計(jì)算作為在每個(gè)場(chǎng)景候選的每個(gè)操作之間的相關(guān)性的操作關(guān)聯(lián)度；以及場(chǎng)景候選重要度重新評(píng)估功能，根據(jù)所述用戶關(guān)聯(lián)度和所述操作關(guān)聯(lián)度，針對(duì)每個(gè)用戶重新計(jì)算每個(gè)場(chǎng)景候選的重要度。為了實(shí)現(xiàn)前述示例目的，根據(jù)本專利技術(shù)的另一示例方面的安全事件監(jiān)視方法是一種用于安全事件監(jiān)視設(shè)備的安全事件監(jiān)視方法，所述安全事件監(jiān)視設(shè)備根據(jù)作為在相同局域網(wǎng)上相互連接的多個(gè)監(jiān)視目標(biāo)設(shè)備上進(jìn)行的操作的記錄的日志，來(lái)檢測(cè)具體操作。所述方法的特征在于：日志收集單元從每個(gè)監(jiān)視目標(biāo)設(shè)備接收每個(gè)日志；相關(guān)性分析單元通過(guò)對(duì)每個(gè)日志應(yīng)用提前給出的相關(guān)性規(guī)則，產(chǎn)生場(chǎng)景候選，在所述場(chǎng)景候選中，每個(gè)日志彼此關(guān)聯(lián)；所述相關(guān)性分析單元將每個(gè)場(chǎng)景候選與由所述相關(guān)性規(guī)則給出的所述場(chǎng)景候選的重要度一起存儲(chǔ)到所述存儲(chǔ)模塊中；場(chǎng)景候選評(píng)估單元的用戶關(guān)聯(lián)度評(píng)估功能列舉可能已進(jìn)行了每個(gè)場(chǎng)景候選中包含的每個(gè)操作的可能用戶；所述用戶關(guān)聯(lián)度評(píng)估功能針對(duì)每個(gè)操作，計(jì)算作為每個(gè)用戶的相關(guān)性的用戶關(guān)聯(lián)度；所述場(chǎng)景候選評(píng)估單元的操作關(guān)聯(lián)度評(píng)估功能計(jì)算作為在每個(gè)場(chǎng)景候選的每個(gè)操作之間的相關(guān)性的操作關(guān)聯(lián)度；所述場(chǎng)景候選評(píng)估單元的場(chǎng)景候選重要度重新計(jì)算功能根據(jù)所述用戶關(guān)聯(lián)度和所述操作關(guān)聯(lián)度，針對(duì)每個(gè)用戶重新計(jì)算每個(gè)場(chǎng)景候選的重要度；以及結(jié)果顯示單元顯示/輸出具有高重要度的場(chǎng)景候選。為了實(shí)現(xiàn)前述示例目的，根據(jù)本專利技術(shù)的又一示例方面的安全事件監(jiān)視程序是一種在安全事件監(jiān)視設(shè)備中使用的安全事件監(jiān)視程序，所述安全事件監(jiān)視設(shè)備根據(jù)作為在相同局域網(wǎng)上相互連接的多個(gè)監(jiān)視目標(biāo)設(shè)備上進(jìn)行的操作的記錄的日志，來(lái)檢測(cè)具體操作。所述程序的特征在于使得設(shè)置于所述安全事件監(jiān)視設(shè)備的計(jì)算機(jī)執(zhí)行：用于從每個(gè)監(jiān)視目標(biāo)設(shè)備接收每個(gè)日志的過(guò)程；用于通過(guò)對(duì)每個(gè)日志應(yīng)用提前給出的相關(guān)性規(guī)則，產(chǎn)生場(chǎng)景候選的過(guò)程，在所述場(chǎng)景候選中，每個(gè)日志彼此關(guān)聯(lián)；用于將每個(gè)場(chǎng)景候選與由所述相關(guān)性規(guī)則給出的所述場(chǎng)景候選的重要度一起存儲(chǔ)的過(guò)程；用于列舉可能已進(jìn)行了每個(gè)場(chǎng)本文檔來(lái)自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種安全事件監(jiān)視設(shè)備，根據(jù)作為在相同局域網(wǎng)上相互連接的多個(gè)監(jiān)視目標(biāo)設(shè)備上進(jìn)行的操作的記錄的日志，來(lái)檢測(cè)具體操作，所述安全事件監(jiān)視設(shè)備包括：存儲(chǔ)模塊，提前存儲(chǔ)在對(duì)每個(gè)日志執(zhí)行相關(guān)性分析時(shí)應(yīng)用的相關(guān)性規(guī)則；日志收集單元，從每個(gè)監(jiān)視目標(biāo)設(shè)備接收每個(gè)日志；相關(guān)性分析單元，通過(guò)對(duì)每個(gè)日志應(yīng)用所述相關(guān)性規(guī)則，產(chǎn)生場(chǎng)景候選，在所述場(chǎng)景候選中，每個(gè)日志彼此關(guān)聯(lián)，并且所述相關(guān)性分析單元將所述場(chǎng)景候選與由所述相關(guān)性規(guī)則給出的所述場(chǎng)景候選的重要度一起存儲(chǔ)到所述存儲(chǔ)模塊中；場(chǎng)景候選評(píng)估單元，重新計(jì)算每個(gè)場(chǎng)景候選的重要度；以及結(jié)果顯示單元，顯示/輸出具有重新計(jì)算后的高重要度的場(chǎng)景候選，其中，所述場(chǎng)景候選評(píng)估單元包括：用戶關(guān)聯(lián)度評(píng)估功能，列舉可能已進(jìn)行了每個(gè)場(chǎng)景候選中包含的每個(gè)操作的可能用戶，以及針對(duì)每個(gè)操作，計(jì)算作為每個(gè)用戶的相關(guān)性的用戶關(guān)聯(lián)度；操作關(guān)聯(lián)度評(píng)估功能，計(jì)算作為在每個(gè)場(chǎng)景候選的每個(gè)操作之間的相關(guān)性的操作關(guān)聯(lián)度；以及場(chǎng)景候選重要度重新評(píng)估功能，根據(jù)所述用戶關(guān)聯(lián)度和所述操作關(guān)聯(lián)度，針對(duì)每個(gè)用戶重新計(jì)算每個(gè)場(chǎng)景候選的重要度。

【技術(shù)特征摘要】
2011.09.13 JP 2011-1997761.一種安全事件監(jiān)視設(shè)備，根據(jù)作為在相同局域網(wǎng)上相互連接的多個(gè)監(jiān)視目標(biāo)設(shè)備上進(jìn)行的操作的記錄的日志，來(lái)檢測(cè)具體操作，所述安全事件監(jiān)視設(shè)備包括：存儲(chǔ)模塊，提前存儲(chǔ)在對(duì)每個(gè)日志執(zhí)行相關(guān)性分析時(shí)應(yīng)用的相關(guān)性規(guī)則；日志收集單元，從每個(gè)監(jiān)視目標(biāo)設(shè)備接收每個(gè)日志；相關(guān)性分析單元，通過(guò)對(duì)每個(gè)日志應(yīng)用所述相關(guān)性規(guī)則，產(chǎn)生場(chǎng)景候選，在所述場(chǎng)景候選中，每個(gè)日志彼此關(guān)聯(lián)，并且所述相關(guān)性分析單元將所述場(chǎng)景候選與由所述相關(guān)性規(guī)則給出的所述場(chǎng)景候選的重要度一起存儲(chǔ)到所述存儲(chǔ)模塊中；場(chǎng)景候選評(píng)估單元，重新計(jì)算每個(gè)場(chǎng)景候選的重要度；以及結(jié)果顯示單元，顯示/輸出具有重新計(jì)算后的高重要度的場(chǎng)景候選，其中，所述場(chǎng)景候選評(píng)估單元包括：用戶關(guān)聯(lián)度評(píng)估功能模塊，列舉可能已進(jìn)行了每個(gè)場(chǎng)景候選中包含的每個(gè)操作的可能用戶，以及針對(duì)每個(gè)操作，計(jì)算作為每個(gè)用戶的相關(guān)性的用戶關(guān)聯(lián)度；操作關(guān)聯(lián)度評(píng)估功能模塊，計(jì)算作為在每個(gè)場(chǎng)景候選的每個(gè)操作之間的相關(guān)性的操作關(guān)聯(lián)度；以及場(chǎng)景候選重要度重新評(píng)估功能模塊，根據(jù)所述用戶關(guān)聯(lián)度和所述操作關(guān)聯(lián)度，針對(duì)每個(gè)用戶重新計(jì)算每個(gè)場(chǎng)景候選的重要度，其中所述操作關(guān)聯(lián)度評(píng)估功能模塊基于提前給出的評(píng)估標(biāo)準(zhǔn)，根據(jù)作為每個(gè)操作目標(biāo)的文件之間的相似性，計(jì)算所述操作關(guān)聯(lián)度。2.根據(jù)權(quán)利要求1所述的安全事件監(jiān)視設(shè)備，其中，所述用戶關(guān)聯(lián)度評(píng)估功能模塊列舉在進(jìn)行每個(gè)場(chǎng)景候選中包含的操作時(shí)能夠進(jìn)行針對(duì)所述監(jiān)視目標(biāo)設(shè)備的操作的用戶。3.根據(jù)權(quán)利要求1所述的安全事件監(jiān)視設(shè)備，其中，所述用戶關(guān)聯(lián)度評(píng)估功能模塊通過(guò)對(duì)外部連接的目錄服務(wù)設(shè)備進(jìn)行查詢，列舉被授權(quán)進(jìn)行每個(gè)場(chǎng)景候選中包含的操作的用戶。4.根據(jù)權(quán)利要求1所述的安全事件監(jiān)視設(shè)備，其中，所述操作關(guān)聯(lián)度評(píng)估功能模塊使用從以下各項(xiàng)中選出的至少一項(xiàng)作為文件之間的相似性的評(píng)估標(biāo)準(zhǔn)：作為每個(gè)操作目標(biāo)的文件的名稱、文件的大小、文件的用戶名稱、文件的散列值和文件的電子簽名。5.根據(jù)權(quán)利要求1所述的安全事件監(jiān)視設(shè)備，其中，所述結(jié)果顯示單元將具有高重要度的場(chǎng)景候選與針對(duì)該場(chǎng)景候選具有高關(guān)聯(lián)度的用戶一起顯示。6.一種安全事件監(jiān)視設(shè)備，根據(jù)作為在相同局域網(wǎng)上相互連接的多個(gè)監(jiān)視目標(biāo)設(shè)備上進(jìn)行的操作的記錄的日志，來(lái)檢測(cè)具體操作，所述安全事件監(jiān)視設(shè)備包括：存儲(chǔ)模塊，提前存儲(chǔ)在對(duì)每個(gè)日志執(zhí)行相關(guān)性分析時(shí)應(yīng)用的相關(guān)性規(guī)則；日志收集單元，從每個(gè)監(jiān)視目標(biāo)設(shè)備接收每個(gè)日志；相關(guān)性分析單元，通過(guò)對(duì)每個(gè)日志應(yīng)用所述相關(guān)性規(guī)則，產(chǎn)生場(chǎng)景候選，在所述場(chǎng)景候選中，每個(gè)日志彼此關(guān)聯(lián)，并且所述相關(guān)性分析單元將所述場(chǎng)景候選與由所述相關(guān)性規(guī)則給出的所述場(chǎng)景候選的重要度一起存儲(chǔ)到所述存儲(chǔ)模塊中；場(chǎng)景候選評(píng)估單元，重新計(jì)算每個(gè)場(chǎng)景候選的重要度；以及結(jié)果顯示單元，顯示/輸出具有重新計(jì)算后的高重要度的場(chǎng)景候選，其中，所述場(chǎng)景候選評(píng)估單元包括：用戶關(guān)聯(lián)度評(píng)估功能模塊，列舉可能已進(jìn)行了每個(gè)場(chǎng)景候選中包含的每個(gè)操作的可能用戶，以及針對(duì)每個(gè)操作，計(jì)算作為每個(gè)用戶的相關(guān)性的用戶關(guān)聯(lián)度；操作關(guān)聯(lián)度評(píng)估功能模塊，...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：村本榮治，
申請(qǐng)(專利權(quán))人：日本電氣株式會(huì)社，
類型：發(fā)明
國(guó)別省市：